JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin

הפרשה התורנית

מרכיבים חשובים באבטחת המידע לא מטופלים כהלכה

הפרשה התורנית יונתן קורפל
יוני 10
09:30 2019

לפני ימים אחדים הדליף הכתב לענייני משטרה רועי ינובסקי, באמצעות ציוץ קצר דל בפרטים, ידיעה על אודות פרשה חדשה – מדובר בהוצאה ובאחזקה לא חוקיות של מידע על ידי עובד ציבור, וכן בהעברתו לידי גורם חיצוני למערכת. מאז נוספו עוד פיסות מידע ספורות. העובדה שחלפו שבועיים מיום מעצרו של החשוד ועד ההדלפה הראשונה, איננה שגרתית. השמועה אומרת שהטיפול בחקירה הופקד בידי מחלקת הסייבר במשטרה, וזו הסיבה שהמאמר נכתב למדור זה.

טכנולוגיית המידע השתלטה זה מכבר על חיינו, והיא ממשיכה להתרחב ולהתפשט בכל נימיו של הארגון המודרני, כמו גם ברמת האדם הבודד וחייו הפרטיים. הטכנולוגיה מביאה עימה יכולות ויתרונות שפעם אפילו לא יכולנו לחלום עליהם. אולם לצד ההיבטים החיוביים קיימים גם החולשות והסיכונים שטמונים בחובן של המערכות הללו.

הארגונים בימינו תלויים לגמרי במערכות המידע, ופגיעה באלה האחרונות יכולה להביא אותן לפעול בדרך מעוותת ושונה מכוונתן המקורית, יכולה להשבית לחלוטין פונקציות בארגון או את כל תפקודו, ויכולה לגרום לחשיפת מידע פנימי לגורמים שכלל לא אמורים להגיע אליו.

כנגד הסיכונים והאיומים מוצבים כמובן אמצעי התגוננות. ציוד ומכשירים שונים ומגוונים מפותחים כל העת על מנת לנטרל סיכונים וכיווני מתקפות שרק הולכים ומתרבים ואף משתכללים. כמו כן ישנו מגוון אדיר של תוכנות שמשתלבות במערך ההגנה. בהן תוכנות-נגד, כאלה שנועדו לבלום מתקפות באמצעות תוכנות זדוניות מסוימות. יש גם תוכנות למידור והרשאה המכוונות להגביל את יכולות הכניסה, חשיפת המידע, והגדרת הפעולות המתאפשרות לכל בעל גישה. קיימות גם תוכנות הצפנה ופענוח וכן הלאה.

ישראל נחשבת למדינה שלה יכולות גבוהות בתחום לוחמת הסייבר. ראש ממשלתנו אף מרבה להתפאר בכך. אלא שרבים מדי מקרב המקצוענים והמנהלים במדינתנו שוכחים שהפתרונות הטכניים הללו ודומיהם, אינם המישור היחידי שבו עלינו לפעול כנגד האיומים הקיברנטיים. זה מכבר מקובלת הגישה כי התמודדות מול צירוף האיומים על מערכות המידע בארגונים, חייבת לכלול שלושה מעגלים משולבים זה בזה: פיזי, פורמלי, א-פורמלי. ראו למשל בפרסום של Liebenau and Backhouse משנת 1990.

הרמה הראשונה, הטכנית, עוסקת בכל המכשירים, הציוד והתוכנות שהוזכרו קודם לכן. אולם בכך אין די. חשובה מאוד גם הרמה הפורמלית. זו הקובעת למי מותר לראות מה. בכל כמה זמן יש להחליף סיסמה ומה יהיה הרכבה. מה מותר להוציא אל מחוץ לארגון. מהן אמות המידה שעל פיהן ייבחר מועמד למשרה. אילו בדיקות וביקורות ייערכו בארגון בתחום הנדון – תוך כדי העבודה ובדיעבד, איך תופעל האכיפה. וכן הלאה וכן הלאה. אסור להתעלם גם מהרמה הא-פורמלית, זו שעוסקת בהקניית ידע לעובדים ולמנהלים, כדי שיבינו מדוע וכיצד עליהם לפעול, ואיך להפעיל את הכלים. למשל, באילו דברי דואר אלקטרוני לא לגעת, לאילו אתרים לא להיכנס. וזה כולל גם הקניית קוד אתי ומחויבות מוסרית לדרכי פעולה והתנהגות.

בכל העולם קיים פער גדול בין המאמצים והמשאבים המושקעים ברמה הטכנית, שם פחות נוטים לחסוך, לבין תשומת הלב הארגונית והאישית לשתי רמות ההתגוננות האחרות. למדינה החזקה בעולם – ארה"ב – לא הועילו כל תקציבי הענק ואין סוף מומחי הסייבר. לראיה, הפרשה הידועה שבה זוטר – רב"ט ברדלי מאנינג – העביר בקלות רבה יחסית, כמיליון מסמכים סודיים ממאגרי המידע לחשיפה באתר ההדלפות "ויקיליקס". זה קורה בכל העולם ובארגונים רבים מכל הסוגים, אבל לדעתי בארצנו הבעיה גדולה אף יותר.

בישראל, שילוב גישות ה"סמוך", "יהיה בסדר", "הכול שטויות" ודומיהן מביא למחדלים ולנזקים גדולים. די אם נזכיר את העובדה שבמהלך השנים נחשפו עשרות מקרים של קציני צה"ל, אחד מהם אפילו אלוף, שבניגוד לפקודות הברורות הוציאו מהבסיס או מהמשרד מחשבים ובהם חומר סודי, ולאחר מכן אלה נגנבו מבתיהם או ממכוניותיהם. מובן שגם אזובי הקיר לא טמנו ידם בצלחת. לכולם זכור משפטה של החיילת ענת קם שהעבירה מידע סודי ממערכות המידע הצבאיות לעיתון "הארץ". כל הגאווה על היכולות הטכנולוגיות של יחידות למיניהן שבהן אנחנו משתבחים, נמחו שוב ושוב בעיקר בשל דלותן עד אי-קיומן של שכבות ההגנה הפורמלית והא-פורמלית.

כל הדוגמאות עד כאן הובאו מהמערכות הביטחוניות. המצב קשה שבעתיים בארגונים אחרים שאינם ביטחוניים, אשר גם פרצות במערכות המידע שלהם יכולות לגרום נזקים גדולים, לעיתים ברמה לאומית. אפשר להיזכר לדוגמה בהפיכת תכולת המידע של מערכת מרשם האוכלוסין לפתוחה וגלויה לעין כול. או למערכת המידע של "לאומי קארד" שנתוניה הועתקו, מה שאיים אפילו על דירוג הבנקאות הישראלית כולה. בשני המקרים היו אלה אנשים שקשורים למערכות המידע בארגון. מדובר בתופעה גדולה שלהערכתי איננה מנוטרת דיה, היא מתרחשת בהרבה ארגונים קטנים, שם מודעים עוד פחות לבעיה ולסיכונים. יתרה מכך, גם ארגונים שמגלים מה עוללו להם, מסתירים לא פעם את האירועים מסיבות מובנות. יֵדע כל מנהל שהחולשה הגדולה בשכבות ההגנה המדוברות מחייבת התייחסות רצינית הרבה יותר.

על המחבר / המחברת

יונתן קורפל

יונתן קורפל

עורך ראשי, עורך מדור: IT, עורך מדור: בארים ומסעדות. בעבר מנכ"ל חברות IT בארץ ובחו"ל. כיום באקדמיה ו-דירקטור בחברות ציבוריות.

6 תגובות

  1. שין
    שין יוני 10 2019, 09:49
    ברוך שובך

    כבר חשבתי שהמחדלים נגמרו

    השב לתגובה
  2. גדעון שניר
    גדעון שניר יוני 10 2019, 13:09
    ביהעדר משפט

    תודה למאמר תזכורת חשוב זה, במיוחד בימים בהם מודלפים פרטי חקירות חסויים בטרם משפט, ולמרות שהדלפות הן בניגוד לחוק, אין בית משפט בישראל שיממש את הענישה שהחוק מתיר.
    ובהיעדר משפט, או שהוא נתון ללחצים פוליטיים, הנושא פרוץ ומזמין את המקרה הבא

    השב לתגובה
  3. איתמר לנדאו
    איתמר לנדאו יוני 10 2019, 20:49
    מדהים אין עד היום לא מזכירים את זה

    לא בעיתונים ולא בטלויזיה

    השב לתגובה
  4. מלכה דדוש
    מלכה דדוש יוני 11 2019, 20:13
    אצלנו יש יזמים

    אבל אין מנהלים
    זאת הבעיה

    השב לתגובה
  5. אברהם חנוכה
    אברהם חנוכה יוני 12 2019, 06:51
    תמיד יהיו מדליפים ומוכרי מידע

    מתוך הארגון אבל זה לא קשור לסייבר

    השב לתגובה
  6. צביה גורן
    צביה גורן יוני 13 2019, 10:31
    מאמר חשוב

    אבל מי באמת מתעסק בנושאים הללו

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור
Do NOT follow this link or you will be banned from the site!